إعـــــــلان

**bryadh** · 12-01-2008, 07:52 PM

السـﻻم عليكم
مشكور اخي الكريم علي المجهود و اﻹفادة و جازاك الله كل خير
قمت بتركيب و تنقيذ البرنامج علي الجهاز المحلي - بالبيت - فظهرت بعض النقائص بالجهاز- فهل لك اخي الكريم من توضيح أو مساعدة في رفع النقائص

علي فكر قمت بتحويل التوزيعة إلي سرفر .......
قمت بتركيب rkhunter و بتنقيذ اﻷمر

كود:

rkhunter -c

الجزء اﻷول من المسح

كود:

System checks
* Allround tests
   Checking hostname... Found. Hostname is linux-xxxl
   Checking for passwordless user accounts... OK
   Checking for differences in user accounts... Found differences
   Info:
----------------------
< dovecot:x:110:112:User for Dovecot imapd:/var/run/dovecot:/bin/false
< festival:x:112:114:Festival daemon:/usr/share/festival/:/bin/false
< gdm:x:113:115:Gnome Display Manager daemon:/var/lib/gdm:/bin/false
< icecream:x:111:113:Icecream Daemon:/var/cache/icecream:/bin/false
< man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
< news:x:9:13:News system:/etc/news:/bin/bash
< uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
< +::::::/sbin/nologin
> dovecot:x:110:112:User for Dovecot imapd:/var/run/dovecot:/bin/false
> icecream:x:111:113:Icecream Daemon:/var/cache/icecream:/bin/false
> man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
> news:x:9:13:News system:/etc/news:/bin/bash
> uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
> festival:x:112:114:Festival daemon:/usr/share/festival/:/bin/false
> gdm:x:113:115:Gnome Display Manager daemon:/var/lib/gdm:/bin/false
----------------------
   Info: Some items have been added (items marked with '<')
   Info: Some items have been removed (items marked with '>')
   Checking for differences in user groups... Found differences
   Info:
----------------------
< dovecot:!:112:
< festival:!:114:
< gdm:!:115:
< icecream:!:113:
< +:::
> dovecot:!:112:
> icecream:!:113:
> festival:!:114:
> gdm:!:115:

الجزء الموالي تابع

كود:

Application advisories
* Application scan
   Checking Apache2 modules ...                               [ Not found ]
   Checking Apache configuration ...                          [ OK ]

* Application version scan
   - GnuPG 2.0.4-svn0                                         [ Unknown ]
   - Bind DNS 9.4.1-P1                                        [ Unknown ]
   - OpenSSL 0.9.8e                                           [ Vulnerable ]
   - PHP 5.2.5                                                [ Unknown ]
   - Procmail MTA 3.22                                        [ Vulnerable ]
   - OpenSSH 4.6p1                                            [ Vulnerable ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)

دمتم بود

**UAIL** · 12-01-2008, 08:12 PM

مشكووووووور مشرفنا الجديد يعطيك العافية على موضوعك
الروووت كيت ذكرتني بالهكر زمان <--كان يتعلم

**Br4v3-H34r7** · 12-01-2008, 08:14 PM

شكرا لك أخوي على الرد...
بالنسبة لنتائج الفحص وحسب الي ظاهر أمامي أنه يوجد بعد الأشياء الخطيرة
قد لاتشكل خطر عليك ولكن تشكل خطر على الجهاز اذا كان سيرفر وعليه مواقع ووو

System checks
* Allround tests
Checking hostname... Found. Hostname is linux-xxxl
Checking for passwordless user accounts... OK
Checking for differences in user accounts... Found differences
Info:
----------------------
< dovecot:x:110:112:User for Dovecot imapd:/var/run/dovecot:/bin/false
< festival:x:112:114:Festival daemon:/usr/share/festival/:/bin/false
< gdm:x:113:115:Gnome Display Manager daemon:/var/lib/gdm:/bin/false
< icecream:x:111:113:Icecream Daemon:/var/cache/icecream:/bin/false
< man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
< news:x:9:13:News system:/etc/news:/bin/bash
< uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
< +::::::/sbin/nologin
> dovecot:x:110:112:User for Dovecot imapd:/var/run/dovecot:/bin/false
> icecream:x:111:113:Icecream Daemon:/var/cache/icecream:/bin/false
> man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
> news:x:9:13:News system:/etc/news:/bin/bash
> uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
> festival:x:112:114:Festival daemon:/usr/share/festival/:/bin/false
> gdm:x:113:115:Gnome Display Manager daemon:/var/lib/gdm:/bin/false
----------------------
Info: Some items have been added (items marked with '<')
Info: Some items have been removed (items marked with '>')
Checking for differences in user groups... Found differences
Info:
----------------------
< dovecot:!:112:
< festival:!:114:
< gdm:!:115:
< icecream:!:113:
< +:::
> dovecot:!:112:
> icecream:!:113:
> festival:!:114:
> gdm:!:115:

Application advisories
* Application scan
Checking Apache2 modules ... [ Not found ]
Checking Apache configuration ... [ OK ]

* Application version scan
- GnuPG 2.0.4-svn0 [ Unknown ]
- Bind DNS 9.4.1-P1 [ Unknown ]
- OpenSSL 0.9.8e [ Vulnerable ]
- PHP 5.2.5 [ Unknown ]
- Procmail MTA 3.22 [ Vulnerable ]
- OpenSSH 4.6p1 [ Vulnerable ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)

Checking for differences in user accounts
هنا يبحث عن الاختلاف في حسابات اليوزرز والبرنامج وجد اختلافات لا أعرف سببها << أنت الي تستعمل الجهاز مش أنا

OpenSSL 0.9.8e
Procmail MTA 3.22
OpenSSH 4.6p1
تحوي ثغرات على قولة البرنامج <<< قم بتحديث النظام عندك

أنت سويت للبرنامج أبديت عن طريق الأمر
rkhunter -update قبل ماتستخدمه ؟؟

مشكووووووور مشرفنا الجديد يعطيك العافية على موضوعك
الروووت كيت ذكرتني بالهكر زمان <--كان يتعلم

شكرا أخوي على ردك

**bryadh** · 12-01-2008, 08:42 PM

البرنامج الذي معي إصدار 1.28 و قمت حاليا بتحديثه

كود:

linux-wrall:/ # rkhunter --update
Running updater...

Mirrorfile /var/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://rkhunter.sourceforge.net
[DB] Mirror file                      : Up to date
[DB] MD5 hashes system binaries       : Up to date
[DB] Operating System information     : Mirror outdated. Skipped
  Info (current version: 2009111401, version of mirror: 2007061401)
[DB] MD5 blacklisted tools/binaries   : Up to date
[DB] Known good program versions      : Up to date
[DB] Known bad program versions       : Up to date




Ready.

توزيعة لينوكس التي حولتها منذ فترة قصيرة إلي سرفر هي للإستعمال المنزلي و التدريب و التجربة و ان نجحت سوف انقل التجربة إلي (جمعية ذات نفع عام )
البرامج الملونة كلها حديثة وقمت بتركيبها حسب موقع howto

كود:

http://www.howtoforge.com/perfect_server_opensuse10.3_p5

النتيجة بعد التحديث هي التالية :

كود:

Application advisories
* Application scan
   Checking Apache2 modules ...                               [ Not found ]
   Checking Apache configuration ...                          [ OK ]

* Application version scan
   - GnuPG 2.0.4-svn0                                         [ Unknown ]
   - Bind DNS 9.4.1-P1                                        [ Unknown ]
   - OpenSSL 0.9.8e                                           [ Vulnerable ]
   - PHP 5.2.5                                                [ Unknown ]
   - Procmail MTA 3.22                                        [ Vulnerable ]
   - OpenSSH 4.6p1                                            [ Vulnerable ]

Your system contains some unknown version numbers. Please run Rootkit Hunter
with the --update parameter or fill in the contact form (www.rootkit.nl)


Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...                               [ Found ]
   Checking users with UID '0' (root)...                      [ OK ]

* Check: SSH
   Searching for sshd_config...
   Found /etc/ssh/sshd_config
   Checking for allowed root login...                         [ OK (Remote root login permitted by explicit option) ]
   Checking for allowed protocols...                          [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
   Search for syslog configuration...                         [ OK ]
   Checking for running syslog slave...                       [ OK ]
   Checking for logging to remote system...                   [ OK (no remote logging) ]

[Press <ENTER> to continue]



---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 3

Scanning took 110 seconds

علي كل حال سوف أسعي لمراجعة البرامج التي ذكرتها و القيام بتحديثها
و جازاك الله عنا كل خير

**Victime** · 23-01-2008, 08:42 PM

اغلب هاذ لادوات الحين مو لها فائدة لانوا تقنيات الروت كيت في تطور مستمر
المهم ساقل لكم شيء بس اسف عشان ضيق الوقت لاني صراحة انا سجلت عشان حاجة واحدة بس ... بس مو يوجد مانع عشان نضيف معلومة قبل مانروح وسلامي للاخ محمد اقصد دريمان عارف انك مو عارفني

بس مو مشكل
اول برامج ظهرت لصدياد الروت كيت كادات chrootkit التى تستخدم خوارزمية مشهور في صديات الروت كيت كيف
اولا نحن نعرف انوا مجلد ال /proc يحتوى على مجلدات تحمل اسم العمليات التى يديرها النظام ونحن نعرف انوا عمليت كشف هذا النوع من الفيروسات كالتالي
تقوم ادات اولا بعمل حلقت تكرار من 1 الى رقم اقصى الذي يمكن استخدامه في تعريف عملية داخل النظام ويبدا مقارنة رقم العملية برقم عملية موجود على مسار /proc
يعني الخوارزمية وضيفتها كشف عمليات الموجودة على مسار /prco
الحين يتم استخدام الادات المعرفة في عرض العمليات الجارية على النظام وهي ps
بعدها يتم مقارنة نتائج العمليات الموجودة على مسار /proc والنتائج لي ظهرت لنا مع ادات ps واي عملية يتم ايجادها في مسار /prco ولم يتم ايجادها عن طريق ادات ps تعتبر عملية مخفية هذا الطريقة لي تتعامل بها برامج الحماية مثل ادات ال chrootkit الحين بعد ظهور هاذ النواع من الادوات كان لابد من اكتشاف طريقة اخرى وبالفعل تم كتاشف طريقة وهي انوا الذاكرة النظام او Swap مقسمة الى جزئين احدهما هو /dev/mem ويمكن القراة من خلاله عادي والكتابة اليه اما الجزء الثاني فهو /dev/kmem ولا يمسمح بالوصول اليه الحين تم استغلال الجزء الاول من الذاكرة في حقن العمليات المخفية مما ادى الى فشل تلك الادوات التى تعتمد على الطريقة ليتحدثنا عنها سابقا
الحين لكتشاف هاذا النوع من الروت كيت كان لابد من لجوء الى قسم /dev/kmem الذي لايمكن الوصول اليه مباشرة من النظام مما ادى الى ظهور باتشات للكرنيل عشان يغيرو من هاذ الفلسفلة ولو تلاحظ الاصدارات الجديدة من الكرينل والتوزيعات تاتي مجهزة مسبقا وبتالي ظهرت ادوات تمسح ذلك الجزء من الذاكرة بالطبع بعد عمل الباتش للنواة ويتم مسح الذاكرة كليا من اي روت كيت مركب على الخادم
الحين بعد هاذ الطريقة تم فتح مجال اكبر خطورة من سابقه وطبعا دون قصد
الحين اصبحت الروت كيت اكثر تمكنا من السابق كيف ذلك
قبل ظهور كفهوم الحق للوصول على ذالك الجزء كان المهاجم او مصمم مقيد بعض الشيء ولكن بعد ظهور هاذ المفهوم اصبح هناك قيوم لا محددوة كيف الطريقه هي اصابة ال /dev/kmem او بما يعرف بال Loade Kernel Module يعني يتم تنفذي سكريبتات و فتح باكدورات عن طريق اصابة ذالك الجزء من الذاكر وبتالي يتم تنفيذ اوامر غير مشروعة او قنونية يعني يتم النتحايل على نواة النظام بمعنى اخر تلك الاوامر تراها النواة صادرة منها ولكن في الحقيقية الامر هي مجرد سطور كتبها قبعة سوداء

وسلام خير الختام

**Br4v3-H34r7** · 23-01-2008, 10:39 PM

شكرا لك أخ Victime على المعلومات الرائعة
وفي جميع الأنظمة الفايروسات والروت كيت في تطور وبرامج الحماية في تطور
أي أنك لاتستطيع أن تحكم على عدم فعالية هذه الأداة لمجرد أن الروت كيت تتطور مع الزمن...

**sAFA7_eLNeT** · 24-01-2008, 02:07 AM

أخ victime معلوماتك خاطئة.. ياريت Refresh بدلاً من وضع معلومات خاطئة .

لا شيء شخصي طبعاً.

**Victime** · 24-01-2008, 09:44 AM

net found

**Br4v3-H34r7** · 24-01-2008, 12:50 PM

شوف يالقرصان الرقمي << مراقب عام في أحد المواقع
أول شيء أنا مستغرب ليه مسجل بغير اسم !!
ولكن بما أن الكلام صار بهذه الطريقة سنتكلم عالمفتوح

أولا أسلوبك غير لائق لما خاطبت سفاح واذا عارف كم معلومة
لاتجي وتتفلسف فيهم علينا وتقول بحياتك مو مارر عليك وووو..
يعني مو انت الوحيد الفاهم في مين يفهم قدك و 1000 مرة

الموضوع كان شرح اداة مش اقل ولا اكثر وبردودك خرجت عن نطاق
الموضوع !

أرجو عدم تكرار ذلك واما رد على الأعضاء باحترام أو لا ترد أساسا ونحن
لانحتاج توضيح منك أو من غيرك...

تحياتي

**Victime** · 24-01-2008, 01:39 PM

المشاركة الأصلية بواسطة Br4v3-H34r7 مشاهدة المشاركة

شوف يالقرصان الرقمي << مراقب عام في أحد المواقع
أول شيء أنا مستغرب ليه مسجل بغير اسم !!
ولكن بما أن الكلام صار بهذه الطريقة سنتكلم عالمفتوح

أولا أسلوبك غير لائق لما خاطبت سفاح واذا عارف كم معلومة
لاتجي وتتفلسف فيهم علينا وتقول بحياتك مو مارر عليك وووو..
يعني مو انت الوحيد الفاهم في مين يفهم قدك و 1000 مرة

سلام

!
اولا مو عارف شو اقلك القضية لا قرصان ولا قرصانين بس عارف كيف خطرت ببالك فكرة القرصان

اظن انو بسبب الثيمات اظن بانوا القرصان مو يمانع من مشاركت الثيم

**sAFA7_eLNeT** · 24-01-2008, 03:43 PM

عصابة أيه يابني أنت.. حد قالك عليا ديلر؟

مصدر أيه بس و كلام فاضي أيه بس.. مصدر لمين يابني و عن أيه!!

الكلام اللي أنت بتقوله دا من سنة 2001!! يعني من 7 سنين...يعني أي طفل على النت جديد ولا قديم هيكون عارفه.. إذن ملهاش داعي المصادر و الكلام دا كله!! يعني تخيل انت بتشرح لنا عن تكنولوجيا بقالها 7 سنين PUBLIC ! طب ياريتها كانت في الunderground كنا قلنا معلش.. لكن دي PUBLIC من 7 سنين!!

أولاً تلات أرباع ردك غلط.

تعالى عدهم معايا :

وا الذاكرة النظام او Swap مقسمة الى جزئين احدهما هو /dev/mem ويمكن القراة من خلاله عادي والكتابة اليه اما الجزء الثاني فهو /dev/kmem ولا يمسمح بالوصول اليه الحين تم استغلال الجزء الاول من الذاكرة في حقن العمليات المخفية مما ادى الى فشل تلك الادوات التى تعتمد على الطريقة ليتحدثنا عنها سابقا
الحين لكتشاف هاذا النوع من الروت كيت كان لابد من لجوء الى قسم /dev/kmem الذي لايمكن الوصول اليه مباشرة من النظام مما ادى الى ظهور باتشات للكرنيل عشان يغيرو من هاذ الفلسفلة ولو تلاحظ الاصدارات الجديدة من الكرينل والتوزيعات تاتي مجهزة مسبقا وبتالي ظهرت ادوات تمسح ذلك الجزء من الذاكرة بالطبع بعد عمل الباتش للنواة ويتم مسح الذاكرة كليا من اي روت كيت مركب على الخادم

عد أنت براحتك و شوف أنت غلطت في أيه أنا مش هصصحلك عشان لسانك طويل.. عارف لو كنت رديت بإحترام كنت عرفتك غلطك و عرفتك الإجابة الصح كمان..

نيجي بقا للfunny part في القصة دي كلها و هو الجزئية دي

قبل ظهور كفهوم الحق للوصول على ذالك الجزء كان المهاجم او مصمم مقيد بعض الشيء ولكن بعد ظهور هاذ المفهوم اصبح هناك قيوم لا محددوة كيف الطريقه هي اصابة ال /dev/kmem او بما يعرف بال Loade Kernel Module يعني يتم تنفذي سكريبتات و فتح باكدورات عن طريق اصابة ذالك الجزء من الذاكر وبتالي يتم تنفيذ اوامر غير مشروعة او قنونية يعني يتم النتحايل على نواة النظام بمعنى اخر تلك الاوامر تراها النواة صادرة منها ولكن في الحقيقية الامر هي مجرد سطور كتبها قبعة سوداء

وسلام خير الختام

what a funny guy ! heheheheh

صدق الصديق الغالي لما قال.... sucKIT not for scripts-kids .

لا شيء شخصي يا أخ فيكتم و حسن شوية من أسلوبك في الكلام و راجع المعلومات من جديد و هتلاقي إنك غلطان و عادي كلنا بنغلط .

**Br4v3-H34r7** · 24-01-2008, 03:46 PM

اولا مو عارف شو اقلك القضية لا قرصان ولا قرصانين بس عارف كيف خطرت ببالك فكرة القرصان

اظن انو بسبب الثيمات اظن بانوا القرصان مو يمانع من مشاركت الثيم

يبدو أنك فهمتني غلط أنا ما أقصد عن القرصان = Hacker لا
أنا أقصد الـ Nick name الذي تستعمله Victime هو ليس اللقب الحقيقي لك!
وعلى فكرة تكتب Victim وليس Victime

وشكرا سفاح على التوضيح

كل الود ... :clown:

**سامر حداد** · 24-01-2008, 03:54 PM

مش عارف يا اخ فيكتيم ليه بتحول الموضوع الى كلام شخصي؟ سفاح النت قاللك بأول رد له بأنه لم يقصد شيء شخصي لكنه انتقد المعلومة.. وانت صرت تتفاخر بشطارتك بنقل الأكواد وعلي الحرام انك مش فاهم نص اللي فيها!!

هكذا اشكال غير مرحب بهم بيننا... نحن هنا لتبادل المعلومة ونشر العلم وليس للسخرية والاستهزاء بالآخرين وكأنك ابو العلم كله!! حتى لو كان الطرف الآخر مبتدئ وانا خبير فلا يجوز لي الرد بأي رد من اسلوبك الهجومي ... ولما تعرف مين سفاح النت ساعتها اطعن في مصداقية كلامه.

هذا تنبيه لك ولغيرك باحترام الجميع هنا ولا تنسى:

اللي بيدق الباب بيسمع الجواب.

سلام!!

**MedoZero** · 24-01-2008, 04:16 PM

"سفاح النات ..... مو عارف وين مر علي هاذ الاسم !
حبيب قلبي انا مو اخربط من راسي
ولو تبي اعطيك مصدر انا جاهز بس اقلك بدون فائدة لانوا الموضوع كبير عليك شوي واكيد مو راح تفهم حاجة ونا مو راح الومك في شيء لانوا مثل هاذ اشياء عمرك مو سامع بها ولا راح تسمع بها اون لكنت لاتريد ان تقتنع بالكلام فهاذ مشكلتك مو مشكلت احد بس اقلك حاجة يكفي انك تروح تعمل بحث بالموضوع وتشوف كلام ان كان صحيح ام مو صحيح
بس مو يهم عشانك انت راح اتعمق لك في كلام

اقتباس:
كلام مقتبس من الاخ Jaas

وان كنت مو تعرف لاخ جاز ممكن تبحث عليه "
طبعا مش حتكلم عن الموضوع الأساسى بتاع الرووت كيتس لانه موضوع المفروض انه جميل لكنه منتهى !! يعنى البرامج الى الاخ شارحها فعلا قديمه ولكنها تعطى فكره عن موضوع من اهم مواضيع امن السرفرات ولكن كيفيه اكتشاف الرروت كيت تطور جدا وايضا تطورت الروت كيتس ( طبعا اقصد البرايفيت )واصبحت لا تكتشف بسهوله .. ولكنه موضوع جميل ومفيد فانى اعرف _ بعض الادمنز لايعرفون ماهى الرروت كيتس _
الان نيجى لموضوع التهكم وغيره ... فطبعا الموضوع مرفوض تمام لاننا كده نعتبر بندمر فى المنتدى مش فى الشخص وممكن يحصل فى المنتدى مشادات وغيره زى ماحصل فى مواقع كتيره وحصل هنا و احنا ف غنا عنها .. فاتمنى ان الى عنده معلومه سواء صح او خطا او شايف ان الرد الى قبله مخطىء يعطى رايه التقنى بدون تهكم .....

إعـــــــلان

rkhunter و chkrootkit لفحص السيرفر من الـ rootkits

rkhunter و chkrootkit لفحص السيرفر من الـ rootkits

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق